Tech Blog

Die Versionen 6.5 und 6.4 der Bibliothek ncurses sind von einer kritischen Puffer-Überlauf-Schwachstelle in der Funktion "analyze_string()" betroffen. Dieses Problem (CVE-2025-69720) kann potenziell zur Ausführung von beliebigem Code führen. Betroffen sind Systeme, die diese ncurses-Versionen verwenden. Ein Patch ist erforderlich, um die Schwachstelle zu beheben.

Eine kritische Sicherheitslücke in der Firmware von Sercomm-Routern (Modell SCE4255W) ermöglicht es Angreifern, gültige Admin-/Root-Zugangsdaten aus der MAC-Adresse des Geräts zu berechnen. Dadurch können sie die Authentifizierung umgehen und vollen Zugriff auf das Gerät erlangen. Benutzer sollten dringend ein Firmware-Update installieren, sobald es verfügbar ist.

Eine kritische Sicherheitslücke mit einem CVSS-Score von 9.8 in der Backup/Restore-Funktion der Sercomm SCE4255W (FreedomFi Englewood) Firmware erlaubt Angreifern das Entschlüsseln, Modifizieren und Wiederverschlüsseln von Geräte-Konfigurationen. Dies ermöglicht das Manipulieren von Anmeldeinformationen und das Eskalieren von Rechten über die GUI-Funktionen zum Import und Export.

Eine kritische Schwachstelle mit der CVE-ID CVE-2026-4753 wurde in der Debugger-Software RetroDebugger vor Version 0.64.72 entdeckt. Die Lücke ermöglicht das Lesen von Speicherbereichen außerhalb der vorgesehenen Grenzen, was zu Abstürzen oder möglicherweise sogar Schadcode-Ausführung führen kann. Anwender sollten schnell auf die neueste Version aktualisieren, um diese Sicherheitslücke zu schließen.

Eine kritische Out-of-bounds Read-Sicherheitslücke wurde in der Webserver-Software "woof" vor Version 15.3.0 entdeckt. Angreifer können diese Schwachstelle ausnutzen, um Systemressourcen außerhalb der vorgesehenen Grenzen zu lesen. Admins sollten umgehend auf die aktuelle woof-Version aktualisieren, um ihre Systeme vor dieser hochkritischen Lücke zu schützen.

Eine kritische Sicherheitslücke (CVE-2026-33849) mit Bewertung 8.8 "Hoch" wurde in der Video-Management-Software rapidvms entdeckt. Die Schwachstelle ermöglicht es Angreifern, Operationen außerhalb der Grenzen eines Speicherpuffers auszuführen. Betroffen sind alle Versionen vor dem Update PR#96. Admins sollten dringend ein Sicherheitsupdate einspielen, um ihre Systeme vor möglichen Kompromittierungen zu schützen.

Ein remote ausnutzbarer Fehler im CODESYS Control Runtime-System ermöglicht es einem Angreifer mit geringen Rechten, die Boot-Applikation zu ersetzen und so beliebigen Schadcode auszuführen. Das Sicherheitsrisiko wird als "hoch" eingestuft. Betroffene Systeme sollten umgehend auf eine gepatcht Version aktualisiert werden.

In der Verwaltungskonsole des DigitalOcean Droplet Agent bis Version 1.3.2 existiert eine Sicherheitslücke, die es Angreifern ermöglicht, mit root-Rechten beliebige Befehle auszuführen. Der Fehler liegt in der unzureichenden Überprüfung von Metadaten, die vom Dienst abgerufen werden. Dadurch können Angreifer Schadcode einschleusen und so die vollständige Kontrolle über die betroffenen Systeme erlangen. Betroffen sind die Komponenten "actioner.go", "exec.go" und "command.go". Ein Patch ist bislang nicht verfügbar, Administratoren sollten den Agent-Dienst daher umgehend deaktivieren.

Eine Schwachstelle in der Netmonitor-Komponente von Firefox ermöglicht Angreifern die Eskalation ihrer Berechtigungen. Das Problem betrifft Firefox-Versionen unter 149 und Firefox ESR unter 140.9. Betroffene Nutzer sollten umgehend ein Update auf eine nicht anfällige Version durchführen, um sich vor möglichen Angriffen zu schützen.

In Firefox-Versionen vor 149 existiert eine kritische Sicherheitslücke (CVE-2026-4725) im Graphics: Canvas2D-Komponenten, die einen Sandbox-Ausbruch ermöglicht. Angreifer können diese Schwachstelle ausnutzen, um die Sandbox zu umgehen und möglicherweise weitere Schäden anzurichten. Ein Patch ist erforderlich, um das Problem zu beheben.